Компания ESET — лидер в области разработки антивирусного программного обеспечения — предупреждает пользователей о высокой активности новой угрозы Krysanec, которая распространяется под видом легитимных платных и бесплатных приложений (например, игр или различного ПО) для мобильных устройств на базе ОС Android. После установки данная троянская программа может собирать различные данные с зараженного устройства, подключать его к командному серверу C&C (Command & Control ), загружать и выполнять другие подключаемые модули, обеспечив тем самым удаленный доступ к файлам, хранящимся на устройстве жертвы.
По словам экспертов ESET, выявленная угроза, получившая название Android/Spy.Krysanec, представляет собой бэкдор — программу для скрытого удаленного управления зараженным компьютером. Данный троян распространяется под видом популярных легитимных программ, таких как приложение для мобильного банкинга MobileBank, используемое клиентами «Сбербанка Росси», программа 3G Traffic Guard, а также антивирусного решения ESET Mobile Security и других. Угроза Spy.Krysanec была обнаружена на различных теневых файлообменниках (Warez) и российских социальных сетях.
Инфицированная программа содержит Android-версию инструмента для получения удаленного доступа Unrecom RAT. Krysanec способен собирать различные данные с зараженного устройства, подключаться к командному C&C-серверу, загружать и выполнять другие модули. Эти модули позволяют троянской программе делать снимки, записывать аудио через микрофон, определять местоположение по GPS-координатам, получать списки установленных на устройство приложений, открытых веб-страниц, телефонных звонков и контактов, получать доступ к SMS-сообщениям (обычным или в Whatsapp) и многое другое.
Отметим, что некоторые образцы Spy.Krysanec, проанализированные специалистами ESET, используют подключение к удаленному серверу, домен которого принадлежит провайдеру no-ip.com. Этот сервис не так давно фигурировал в новостях, когда Microsoft Digital Crimes Unit получила управление над 22 доменами, использовавшимися для распространения вредоносного программного обеспечения.
Несмотря на то, что количество инструментов для получения удаленного доступа на ОС Android значительно меньше, чем на ОС Windows, пользователям стоит быть более осторожными и не загружать программное обеспечения с неизвестных источников.
